摘要：window.name也可以进行跨域数据传输。下面是相应的代码，evil.html跨域读取foo.html的数据，其中proxy.html和evil.html同域，没有任何内容。evil.html:foo.html: 阅读全文

摘要：HTML5的postMessage机制是客户端最直接的中档传输方法，一般用在iframe中父页与子页之间的客户端跨域通信。浏览器支持情况：Chrome 2.0+、Internet Explorer 8.0+, Firefox 3.0+, Opera 9.6+, 和 Safari 4.0+ 。 Fac... 阅读全文

摘要：浏览器有一个合法的性质：一个页面可以设置document.domain为当前子域或比当前子域更高级的域。一般顶级就到了根域，如果设置为其他域，浏览器就会报权限错误。利用这个性质，我们可以通过设置document.domain来跨子域。比如：在blog.foo.com/blog.html和app.fo... 阅读全文

摘要：一、什么是JSONP?百度百科：JSONP(JSON with Padding)是JSON的 一种“使用模式”，可用于解决主流浏览器的跨域数据访问的问题。由于同源策略，一般来说位于 server1.example.com 的网页无法与不是 server1.example.com的服务器沟通，而 HT... 阅读全文

摘要：严格地说，WebSocket技术不属于HTML5，这个技术是对HTTP无状态连接的一种革新，本质就是一种持久性socket连接，在浏览器客户端通过javascript进行初始化连接后，就可以监听相关的事件和调用socket方法来对服务器的消息进行读写操作。与Ajax相比，Ajax技术需要客户端发起请... 阅读全文

摘要：Ajax是严格遵守同源策略的，既不能从另一个域读取数据，也不能发送数据到另一个域。但是，W3C的新标准中CORS（Cross Origin Resource Sharing）推进浏览器支持这样的跨域方案。这个方案过程如下 ：www.foo.com(来源域)的Ajax向www.evil.com(目标域... 阅读全文

摘要：Cookie机制：一般来说，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie，客户端通过javascript也可以添加、修改和删除Cookie。另外，C... 阅读全文

摘要：什么是CSRFCSRF，全称是Cross Site Request Forgery，也即跨站请求伪造。对于CSRF来说，它的请求有两个关键点：跨站点的请求和请求是伪造的。跨站点的请求的来源是其他站点，当然恶意的请求也有可能来自本站，目标网站应该区分请求来源。如果请求的发出不是用户的意愿，那么这个请求... 阅读全文

摘要：一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。这里我们主要注意四点：1、目标网站目标用户；2、浏览器；3、不被预期；4、脚本。二、XSS有什么危害？当我们知道了什么... 阅读全文

摘要：javascript函数劫持很简单，一般情况下，只要在目标函数触发之前，重写这个函数即可。比如，劫持eval函数的代码如下：var _eval=eval;eval=function(x){ if(typeof x=='undefined') {return;} alert(... 阅读全文

摘要：一、浏览器的同源策略同源策略：不同域的客户端脚本在未经授权的情况下不能读写对方的资源。这里有几个关键词：域、脚本、授权、读写、资源1、同域要求两个站点：同协议、同域名、同端口。下表展示了所列站点与http://www.a.com是否同域的情况。站点 是否同域原因https://www.a.com不... 阅读全文